VCSA 7.0更新证书

王哥哥 ESXi 7.0, 错误解决 1,535 次浏览 没有评论

今天登录vcsa 无法登录了,显示no healthy upstream

网上查了下,说什么vcsa的服务没起来,还有dns错误,然后看了下服务确实没起来,dns的话我有2台域控,正常不应该有问题,所以忽略,后来研究发现是证书过期了。

以前vcenter老版本证书时间很久,后来我记得应该是6.5的时候证书只有2年了,所以要记得更新证书,没过期的时候可以在vcsa图形界面里点,如果过期了只能通过命令行来更新证书。

参考文档:

VCSA 6.5.x,6.7.x 或 vCenter Server 7.0.x 中的”签名证书无效”错误 (76719)

https://kb.vmware.com/s/article/76719

如何使用自签名 VMCA 来重新生成 vSphere 6.x 证书 (2112283)

https://kb.vmware.com/s/article/2112283?lang=zh_cn

执行kb76719

首先下载kb76719 中的脚本fixsts.sh上传到/tmp目录

cd /tmp

chmod +x fixsts.sh

./fixsts.sh

会出现如下的成功字样

重启服务,然后看看能不能登录

service-control –stop –all

service-control –start –all

如果还不行继续运行后面的kb2112283的继续更新其他证书

执行kb2112283

我们查询下其他证书过期情况

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store $i –text | egrep “Alias|Not After”; done

 

然后会发现还有其他证书也过期了也要继续更新

直接执行下面命令

/usr/lib/vmware-vmca/bin/certificate-manager

选择选项 8 进行操作,重置所有证书

根据提示,在「Hostname」输入VCSA的FQDN,在VMCA Name输入与Hostname相同的值(如果是以ip部署的vc,请输入ip地址)。

注:一开始其他都是默认,比如us,ca之类的,ip也是先默认,然后到了Hostname和VMCA如果你是用了FQDN,那就用你的域名,否则就是输入IP,这2个一定要一致。

执行完成后,会出现下图自动替换证书,并且启动VC,完成之后就可以登录VC了。


发表回复

Go